Denn am 14. Oktober 2025 endet der offizielle Support für Microsoft Windows 10. Dies hat nicht nur technische, sondern auch datenschutzrechtliche Konsequenzen – insbesondere im Hinblick auf die DSGVO.

Was bedeutet das für den Datenschutz?

Nach dem Support-Ende stellt Microsoft keine Sicherheitsupdates mehr bereit. Damit können bekannte Schwachstellen nicht mehr geschlossen werden – ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten.
Gemäß Art. 32 DSGVO sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Betrieb eines veralteten und unsicheren Betriebssystems kann daher einen Verstoß gegen die DSGVO darstellen.

Empfohlene Maßnahmen

1. IT-Inventur und Risikoanalyse
   Prüfen Sie, welche Systeme noch mit Windows 10 betrieben werden und ob diese personenbezogene Daten verarbeiten.
2. Upgrade auf Windows 11 oder alternative Systeme
   Stellen Sie sicher, dass alle Systeme rechtzeitig auf ein unterstütztes Betriebssystem umgestellt werden. Das BSI  rät zu einem Upgrade auf Windows 11 oder ein Unix-basiertes (macOs) bzw. Linux-basiertes Betriebssystem. Sichern Sie vorher Ihre lokalen Daten, um einem Datenverlust vorzubeugen.
3. Dokumentation und Nachweisführung
   Halten Sie alle Entscheidungen und Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten und in Ihrer technischen Dokumentation fest.
4. Sensibilisierung der Mitarbeitenden
   Informieren Sie Ihre Teams über die Risiken und den geplanten Umstieg, um Sicherheitslücken durch unsachgemäße Nutzung zu vermeiden.
5. Erweiterter Support nur mit Risikoabwägung
   Microsoft bietet für Unternehmen einen dreijährigen kostenpflichtigen Extended Security Update (ESU)-Service an. Dieser sollte jedoch nur als Übergangslösung mit klarer Ausstiegsstrategie genutzt werden.

Gilt auch bei Nutzung von Virtuellen Desktops

Sie nutzen einen virtuellen Desktop und speichern keine personenbezogenen Daten lokal auf dem PC? Auch dann gelten oben genannte Empfehlungen. Denn ein lokales veraltetes Betriebssystem kann auch ein (Un-)Sicherheitsfaktor für einen virtuellen Desktop darstellen und sollte schnellstmöglich im Sinne der DSGVO nachgebessert werden.

Jetzt handeln – nicht warten

Verantwortliche sollten jetzt handeln, um die Einhaltung der DSGVO sicherzustellen und Bußgelder sowie Reputationsschäden zu vermeiden. Denn ähnliche Situationen in der Vergangenheit zeigten: Cyberkriminelle warten auf das Supportende, um tätig zu werden. Seien Sie schneller.

Zusätzlicher Hinweis für IT-Kunden der BBS

IT-Kunden der BBS müssen sich nicht um die AVD-Umgebung sorgen – auch wir migrieren in der für unsere Kunden bereitgestellten virtuellen Arbeitsumgebung auf Windows 11. Entsprechende Informationen erhalten Sie selbstverständlich zeitnah vor dem Upgrade von unserem IT-Team.